За Backdoor.Proxybox стоит хакер из России
Корпорация Symantec сообщает о результатах трехлетнего исследования вредоносного ПО Backdoor.Proxybox.
Специалисты полагают, что автором этой программы является вирусописатель из России, и в настоящее время в сотрудничестве с властями пытаются установить его личность. В расследовании эксперты отталкиваются от используемых им счетов в платежных системах на ряде сайтов по продаже сомнительного ПО.
Последние три месяца специалисты Symantec прикладывали заметные усилия к расследованию деятельности российского хакера, чьё вредоносное ПО Backdoor.Proxybox ежегодно поражает сотни тысяч компьютеров. Расследование позволило раскрыть детали преступления, включая информацию о структуре и размерах ботнета. И специалисты не без основания рассчитывают, что в конечном итоге полученная информация позволит установить личность автора данного вредоносного ПО.
Обычно прокси-сервисы используются для доступа к содержимому, распространение которого ограничено рамками географического региона, или с целью сохранения анонимности. Поставщики подобных услуг присутствуют по всему земному шару. Аналогичное предложение есть и от реселлеров сервиса Proxybox, позиционирующего себя в качестве официального российского поставщика услуг доступа к тысячам серверов всего за $40 в месяц. Сразу появляется вопрос, как им удается предоставлять доступ к такому количеству серверов по такой низкой цене.
Во всех рекламных объявлениях данного предприимчивого российского хакера предоставляется ссылка на один из его четырёх веб-сайтов сомнительного предназначения. Все эти сайты так или иначе связаны с прокси и распространением вредоносного ПО: один из них предоставляет доступ через прокси (proxybox.name), другой предоставляет услуги VPN (vpnlab.ru), третий осуществляет услуги антивирусного сканирования (avcheck.ru), а четвертый предоставляет услуги тестирования прокси (whoer.net). Эти четыре сайта также связаны между собой перекрестными статичными баннерами. В качестве адреса поддержки на всех четырех сайтах автор указал один и тот же номер ICQ. Некоторые из этих сайтов предоставляют платные услуги, и варианты способа оплаты везде одинаковы: WebMoney, Liberty Reserve, и RoboKassa.
Специалисты компании Symantec начали изучать счета платёжных систем, ассоциированные с этими сайтами, и обнаружили, что все они ведут к гражданину с украинским именем, проживающему в России. Другая информация об этом пользователе WebMoney пока не доступна, однако Symantec продолжает активно сотрудничать с правоохранительными органами стран, имеющих отношение к этим серверам управления.
© СОТОВИК